基于IEEE802.11无线宽带局域网

1、级本科毕业设计论文第 27 页 共 27 页引 言在这个“计算机网络无线化”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（wirelesslocal-areanetwork，wlan）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大

2、；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。它利用射频（rf）技术，取代旧式的双绞铜线构成局域网络，提供传统有线局域网的所有功能，网络所需的基础设施不需再埋在地下或隐藏在墙里，也能够随需移动或变化。使得无线局域网络能利用简单的存取构架让用户透过它，达到信息随身化、便利走天下的理想境界。wlan计算机与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化，个人化和多媒体应用提供了潜在的手段，并成为宽带接入的有效手

3、段之一。 2无线局域网概述2.1无线局域网的历史说到无线网络的历史起源，可能比想像的还要早。无线网络的初步应用，可以追溯到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感，在1971年时，夏威夷大学（universityofhawaii）的研究员创造了第一个基于封包式技术的无线电通讯网络，这被称作alohnet的网络，可以算是相当早期的无线局域网络（wlan）。这最早的wlan包括了7台计算机，它们采用双向星型拓扑（bi-directionalsta

4、rtopology）,横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（oahuisland）上。从这时开始，无线网络可说是正式诞生了。虽然目前几乎所有的局域网络（lan）都仍旧是有线的架构，不过近年来无线网络的应用却日渐增加，主要应用在学术界（像是大学校园）、医疗界、制造业和仓储业等，而且相关的技术也一直在进步，对企业而言要转换到无线网络也更加容易、更加便宜了。2.2无线局域网的技术特点无线局域网利用电磁波在空气中发送和接受数据，而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11mbps/54mbps，传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可

5、移动性，能快速方便地解决使用有线方式不易实现的网络联通问题。与有线网络相比，无线局域网具有以下优点：(1)安装便捷一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工过程中，往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点ap(accesspoint)设备，就可建立覆盖整个建筑或地区的局域网络。(2)使用灵活在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。(3)经济节约由于有线网络缺少灵活性，这就要求网络规划者尽可能地

6、考虑未来发展的需要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。(4)易于扩展无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游(roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点，所以发展十分迅速。在最近几年里，无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。2.3无线局域网的应用基于无线局域网具有的诸多优点，它可广泛应用于下列领域：(1)接入网络信息系

7、统：电子邮件、文件传输和终端仿真。(2)难以布线的环境：老建筑、布线困难或昂贵的露天区域、城市建筑群、校园和工厂。(3)频繁变化的环境：频繁更换工作地点和改变位置的零售商、生产商，以及野外勘测、试验、军事、公安和银行等。(4)使用便携式计算机等可移动设备进行快速网络连接。(5)用于远距离信息的传输：如在林区进行火灾、病虫害等信息的传输；公安交通管理部门进行交通管理等。(6)专门工程或高峰时间所需的暂时局域网：学校、商业展览、建设地点等人员流动较强的地方；利用无线局域网进行信息的交流；零售商、空运和航运公司高峰时间所需的额外工作站等。(7)流动工作者可得到信息的区域：需要在医院、零售商店或办公室

8、区域流动时得到信息的医生、护士、零售商、白领工作者。(8)办公室和家庭办公室（soho）用户，以及需要方便快捷地安装小型网络的用户。3无线宽带接入网的主要技术3.1ieee802.11无线局域网标准1997年ieee802.11标准的制定是无线局域网发展的里程碑，它是由大量的局域网以及计算机专家审定通过的标准。ieee802.11标准定义了单一的mac层和多样的物理层，其物理层标准主要有ieee802.11b,a和g。3.1.1ieee802.11b1999年9月正式通过的ieee802.11b标准是ieee802.11协议标准的扩展。它可以支持最高11mbps的数据速率，运行在2.4ghz的

9、ism频段上，采用的调制技术是cck。但是随着用户不断增长的对数据速率的要求，cck调制方式就不再是一种合适的方法了。因为对于直接序列扩频技术来说，为了取得较高的数据速率，并达到扩频的目的，选取的码片的速率就要更高，这对于现有的码片来说比较困难;对于接收端的rake接收机来说，在高速数据速率的情况下，为了达到良好的时间分集效果，要求rake接收机有更复杂的结构，在硬件上不易实现。3.1.2ieee802.11aieee802.11a工作5ghz频段上，使用ofdm调制技术可支持54mbps的传输速率。802.11a与802.11b两个标准都存在着各自的优缺点，802.11b的优势在于价格低廉,

10、但速率较低(最高11mbps);而802.11a优势在于传输速率快(最高54mbps)且受干扰少，但价格相对较高。另外，11a与11b工作在不同的频段上,不能工作在同一ap的网络里，因此11a与11b互不兼容。3.1.3ieee802.11g为了解决上述问题，为了进一步推动无线局域网的发展，2003年7月802.11工作组批准了802.11g标准，新的标准终于浮出水面成为人们对无线局域网关注的焦点。ieee802.11工作组开始定义新的物理层标准ieee802.11g。该草案与以前的802.11协议标准相比有以下两个特点:其在2.4g频段使用ofdm调制技术，使数据传输速率提高到20mbps以

11、上;ieee802.11g标准能够与802.11b的wifi系统互相连通，共存在同一ap的网络里，保障了后向兼容性。这样原有的wlan系统可以平滑的向高速无线局域网过渡，延长了ieee802.11b产品的使用寿命，降低用户的投资。3.1.4ieee802.11nieee已经成立802.11n工作小组，以制定一项新的高速无线局域网标准802.11n。802.11n工作小组是由高吞吐量研究小组发展而来的，由802.11g工作小组主席matthew b. shoemaker担任主席一职。该工作小组计划在2003年9月召开首次会议。ieee802.11n计划将wlan的传输速率从802.11a和802

12、.11g的54mbps增加至108mbps以上，最高速率可达320mbps，成为802.11b、802.11a、802.11g之后的另一场重头戏。和以往地802.11标准不同，802.11n协议为双频工作模式(包含2.4ghz和5ghz两个工作频段)。这样11n保障了与以往的802.11a b, g标准兼容。ieee802.11n计划采用mimo与ofdm相结合，使传输速率成倍提高。另外，天线技术及传输技术，使得无线局域网的传输距离大大增加，可以达到几公里(并且能够保障100mbps的传输速率)。ieee802.11n标准全面改进了802.11标准，不仅涉及物理层标准，同时也采用新的高性能无线

13、传输技术提升mac层的性能，优化数据帧结构，提高网络的吞吐量性能。3.1.5ieee802.11mac协议 普通的802.11无线局域网mac层有两种通讯方式，一种叫分布式协同式（dcf），另一种叫点协同式。分布式协同（dcf）基于具有冲突检测的载波侦听多路存取方法(csma/ca)，无线设备发送数据前，先探测一下线路的忙闲状态，如果空闲，则立即发送数据，并同时检测有无数据碰撞发生。这一方法能协调多个用户对共享链路的访问，避免出现因争抢线路而谁也无法通信的情况。它对所有用户都一视同仁，在共享通讯介质时没有任何优先级的规定。点协同方式（pcf）是指无线接入点设备周期性地发出信号测试帧，通过该测试

14、帧与各无线设备就网络识别、网络管理参数等进行交互。测试帧之间的时间段被分成竞争时间段和无竞争时间段，无线设备可以在无竞争时间段发送数据。由于这种通讯方式无法预先估计传输时间，因此，与分布式协同相比，目前用得还比较少。 3.2调制技术3.2.1dsss调制技术 基于dsss(直接序列扩频)的调制技术有三种。最初ieee802.11标准制定在1mbps数据速率下采用dbpsk。如提供2mbps的数据速率，要采用dqpsk，这种方法每次处理两个比特码元，成为双比特。第三种是基于cck(补偿编码键控)的qpsk，是11b标准采用的基本数据调制方式。它采用了补码序列与直序列扩频技术，是一种单载波调制技术

15、，通过psk方式传输数据，传输速率分为1，2,5.5和11mbps。cck通过与接收端的rake接收机配合使用，能够在高效率的传输数据的同时有效的克服多径效应。ieee802.11b使用了cck调制技术来提高数据传输速率，最高可达11mbps。但是传输速率超过11mbps，cck为了对抗多径干扰，需要更复杂的均衡及调制，实现起来非常困难。因此，802.11工作组，为了推动无线局域网的发展，又引入新的调制技术。 3.2.2pbcc调制技术 pbcc调制技术是由ti公司提出的，已作为802.11g的可选项被采纳。pbcc也是单载波调制，但它与cck不同，它使用了更多复杂的信号星座图。pbcc采用8

16、psk，而cck使用bpsk/qpsk；另外pbcc使用了卷积码，而cck使用区块码。因此，它们的解调过程是十分不同的。pbcc可以完成更高速率的数据传输，其传输速率为11，22和33mbps。 3.2.3ofdm技术 ofdm(正交频分复用的扩频)技术是一种无线环境下的高速多载波传输技术。无线信道的频率响应曲线大多是非平坦的，而ofdm技术的主要思想：就是在频域内将给定信道分成许多正交子信道，在每个子信道上使用一个子载波进行调制，并且各子载波并行传输，从而有效的抑制无线信道的时间弥散所带来的isi。这样就减少了接收机内均衡的复杂度，有时甚至可以不采用均衡器，仅通过插入循环前缀的方式消除isi

17、的不利影响。 由于在ofdm系统中各个子信道的载波相互正交，于是它们的频谱是相互重叠的，这样不但减小了子载波间的相互干扰，同时又提高了频谱利用率。在各个子信道中的这种正交调制和解调可以采用ifft和fft方法来实现，随着大规模集成电路技术与dsp技术的发展，ifft和fft都是非常容易实现的。fft的引入，大大降低了ofdm的实现复杂性，提升了系统的性能。（如图3.1所示ofdm发送接收机系统结构） fdm信号ofde频谱ff图3.1 fdm信号与ofdm信号频谱比较 无线数据业务一般都存在非对称性，即下行链路中传输的数据量要远远大于上行链路中的数据传输量。因此无论从用户高速数据传输业务的需求

18、，还是从无线通信自身来考虑，都希望物理层支持非对称高速数据传输，而ofdm容易通过使用不同数量的子信道来实现上行和下行链路中不同的传输速率。 由于无线信道存在频率选择性，所有的子信道不会同时处于比较深的衰落情况中，因此可以通过动态比特分配以及动态子信道分配的方法，充分利用信噪比高的子信道，从而提升系统性能。由于窄带干扰只能影响一小部分子载波，因此ofdm系统在某种程度上抵抗这种干扰。另外，同单载波系统相比，ofdm还存在一些缺点，易受频率偏差的影响，存在较高的par。 ofdm技术有非常广阔的发展前景，已成为第4带移动通信的核心技术。ieee802.11a g标准为了支持高速数据传输都采用了o

19、fdm调制技术。目前，ofdm结合时空编码、分集、干扰（包括符号间干扰isi和邻道干扰ici）抑制以及智能天线技术，最大程度的提高物理层的可靠性。如再结合自适应调制、自适应编码以及动态子载波分配、动态比特分配算法等技术，可以使其性能进一步优化。 信 源信 宿空 时 编 码空 时 编 码天线阵. . . . . . .s(k)ci(k)ri(k)图3.2 ofdm系统结构框图 3.2.4mimo ofdm技术 mimo技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。它可以定义为发送端和接收端之间存在多个独立信道，也就是说天线单元之间存在充分的间隔，因此消除了天线间信号的相关性，提

20、高信号的链路性能增加了数据吞吐量。 现代信息论表明：对于发射天线数为n，接收天线数为m的多入多出（mimo）系统，假定信道为独立的瑞利衰落信道，并设n、m很大，则信道容量c近似为公式 c=min(m, n)blog2(/2) （其中b为信号带宽，为接收端平均信噪比，min(m,n)为m，n的较小者）。 上式表明，mimo技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。研究表明，在瑞利衰落信道环境下，ofdm系统非常适合使用mimo技术来提高容量。采用多输入多输出（mimo）系统是提高频谱效率的有效方法。我们知道，多径衰落是影响通信质量的主要因素，但mimo系统却能有效地利用多径

21、的影响来提高系统容量。系统容量是干扰受限的，不能通过增加发射功率来提高系统容量。而采用mimo结构不需要增加发射功率就能获得很高的系统容量。因此将mimo技术与ofdm技术相结合是下一代无线局域网发展的趋势。 在ofdm系统中采用多发射天线实际上就是根据需要在各个子信道上应用多发射天线技术。每个子信道都对应一个多天线子系统。一个多发射天线的ofdm系统。目前正在开发的设备由2组ieee802.11a收发器、发送天线和接收天线各2个（22）和负责运算处理过程的mimo系统组成，能够实现最大108mbit/秒的传输速度。支持ap和客户端之间的传输速度为108mbps，客户端不支持该技术时ieee8

22、02.11a客户端的情况，通信速度为54mbps。3.3ieee802.11无线局域网的网络构成wlan网络产品的多种使用方法可以组合出适合各种情况的无线联网设计，可以方便地解决许多以线缆方式难以联网的用户需求。例如，数十公里远的两个局域网相联：其间或有河流、湖泊相隔，拉线困难且线缆安全难保障，或在城市中敷设专线要涉及审批复杂，周期很长的市政施工问题，wlan能以比线缆低几倍的费用在几天内实现，wlan也可方便地实现不经过大的施工改建而使旧式建筑具有智能大厦的功能。 wlan的设备主要包括：无线网卡、无线访问接入点、无线集线器和无线网桥，几乎所有的无线网络产品中都自带无线发射/接收功能，且通常

23、是一机多用。wlan的网络结构主要有两种类型：无中心网络和有中心网络。 3.3.1无中心网络 无中心网络(无ap网络)也称对等网络或ad-hoc网络，它覆盖的服务区称ibss。对等网络用于一台无线工作站（sta, station）和另一台或多台其他无线工作站的直接通讯，该网络无法接入有线网络中，只能独立使用。这是最简单的无线局域网结构。(如图2.4所示)一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同的工作组名、essid和密码。 对等网络组网灵活，任何时间，只要两个或更多的无线接口互相都在彼此的范围之内，它们就可以建立一个独立的网络。这些根据要求建立起来的典型网络在管理和预先调协

24、方面没有任何要求。对等网络中的一个节点必需能同时看到网络中的其他节点，否则就认为网络中断，因此对等网络只能用于少数用户的组网环境，比如4至8个用户，并且他们离得足够近。 3.3.2有中心网络 有中心网络也称结构化网络。它由无线ap、无线工作站（sta）以及dss构成，覆盖的区域分bss和ess。无线访问点也称无线ap或无线hub，用于在无线sta和有线网络之间接收、缓存和转发数据。无线ap通常能够覆盖几十至几百用户，覆盖半径达上百米。 bss由一个无线访问点以及与其关联（associate）的无线工作站构成，在任何时候，任何无线工作站都与该无线访问点关联。换句话说，一个无线访问点所覆盖的微蜂窝

25、区域就是基本服务区。无线工作站与无线访问点关联采用ap的bssid，802.11中，bssid是ap的mac地址。 扩展服务区ess是指由多个ap以及连接它们的分布式系统组成的结构化网络，所有ap必需共享同一个essid，也可以说扩展服务区ess中包含多个bss。分布式系统在ieee802.11标准中并没有定义，但是目前大都是指以太网。扩展服务区只包含物理层和数据链路层，网络结构不包含网络层及其以上各层。因此，对于高层协议比如ip来说，一个ess就是一个ip子网。4无线安全技术4.1无线局域网的安全问题与危险有线网络一直以来都是家庭、企业用户经常使用的网络方式。随着无线网络的普及，有线网络也渐

26、渐的暴露出其不可避免的弊端：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联接起来时，架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。这时无线网络就显示其优越性：可移动性、安装简单、高灵活性和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。以前电影中经常出现的在智能大厦里任意地方移动办公，随时随地下载资料、打印文件的片断，都出现在我们的现实生活当中。 但是在无线局域网的安全性更值得我们去注意。由于传送的数据是利用无线电波在空中辐射传播，无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达

27、预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备，任何人都有条件窃听或干扰信息，数据安全也就成为最重要的问题。因此，我们在一开始应用无线网络时，就应该充分考虑其安全性，了解足够多的防范措施，保护好我们自己的网络。下面，我们就向大家介绍一些无线局域网所面临的危险，知道了解危险如何存在，那么我们再去解决也就相对容易一些： (1)容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。 (2)非法的ap

28、无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的ap，不经过授权而连入网络。很多部门未通过公司it中心授权就自建无线局域网，用户通过非法ap接入给网络带来很大安全隐患。 (3)经授权使用服务 一半以上的用户在使用ap时只是在其默认的配置基础上进行很少的修改。几乎所有的ap都按照默认配置来开启wep进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致isp中断服务。 (4)服务和性能的限制 无线局

29、域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被ap所有用户共享的。无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的ping流量，就会轻易地吞噬ap有限的带宽；如果发送广播流量，就会同时阻塞多个ap；攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过csma/ca机制进行自动适应，同样影响无线网络的传输；另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。 (5)地址欺骗和会话拦截 由于802.11无线局域网对数据帧不进行认证

30、操作，攻击者可以通过欺骗帧去重定向数据流和使arp表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的mac地址，这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现ap中存在的认证缺陷，通过监测ap发出的广播帧发现ap的存在。然而，由于802.11没有要求ap必须证明自己真是一个ap，攻击者很容易装扮成ap进入网络，通过这样的ap，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 mac帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。 (6)流量分析与流量侦听802.11无法防止攻击者采

31、用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，wep有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被wep加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期，wep非常容易被airsnort、wepcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次wep密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。 (7)高级入侵 一旦攻击者进入无线网络，

32、它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。4.2关键安全技术有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理端口接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气

33、中辐射传播，只要在接入点(ap，access point)覆盖的范围内，所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因。 无线局域网络产品的ieee 802.11系列标准主要有802.11a(5ghz-1999年获得通过)、802.11b(11mbps 2.4ghz-1999年获得通过)、802.11d(额外的规章制度)、802.11e(服务质量)、802.11f(接入点间协议iapp)、802.11g(2.4ghz-更高的数据速率20mbps-2003年5月获得通过)、802.11h(灵活的频率选择与传输电源控制机制)、802.1

34、1i(验证与安全性-2004年6月获得通过)、802.1x(基于端口的网络接入控制eap-2003年6月获得通过)，下面将标准中涉及的安全技术加以阐述。 通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只能由授权用户进行访问；另一个是数据加密，它用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。 4.2.1服务集标识ssid(service set identifier)匹配 通过对多个无线ap设置不同的ssid标识字符串(最多32个字符)，并要求无线工作

35、站出示正确的ssid才能访问ap，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是ssid只是一个简单的字符串，所有使用该无线网络的人都知道该ssid，很容易泄漏；而且如果配置ap向外广播其ssid，那么安全程度还将下降，因为任何人都可以通过工具或windows xp自带的无线网卡扫描功能就可以得到当前区域内广播的ssid。所以，使用ssid只能提供较低级别的安全防护。 4.2.2物理地址(mac，media access control)过滤 由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址，因此可以在ap中手工维护一组允许访问的mac地址列表，实现基于

36、物理地址的过滤。如果各级组织中的ap数量很多，为了实现整个各级组织所有ap的无线网卡mac地址统一认证，现在有的ap产品支持无线网卡mac地址的集中radius认证。物理地址过滤的方法要求ap中的mac地址列表必须及时更新，因此此方法维护不便、可扩展性差；而且mac地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。4.2.3新一代无线安全技术ieee802.11i为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，ieee802.11工作组于2004年6月正式批准了ieee 802.11i安全标准，从长远角度考虑解决ieee 802.11无线局域网的安全

37、问题。ieee 802.11i标准主要包含的加密技术是tkip(temporal key integrity protocol)和aes(advanced encryption standard)，以及认证协议ieee 802.1x。定义了强壮安全网络rsn(robust security network)的概念，并且针对wep加密机制的各种缺陷做了多方面的改进。 ieee 802.11i规范了802.1x认证和密钥管理方式，在数据加密方面，定义了tkip(tem-poral key integrity protocol)、ccmp(counter-mode/cbc2 mac protocol

38、)和wrap(wireless ro2bust authenticated protocol)三种加密机制。其中tkip可以通过在现有的设备上升级固件和驱动程序的方法实现，达到提高wlan安全的目的。ccmp机制基于aes(advanced encryption standard)加密算法和ccm(counter2mode/cbc2mac)认证方式，使得wlan的安全程度大大提高，是实现rsn的强制性要求。aes是一种对称的块加密技术，有128/192/256位不同加密位数，提供比wep/tkip中rc4算法更高的加密性能，但由于aes对硬件要求比较高，因此ccmp无法通过在现有设备的基础上进

39、行升级实现。 在某些场合，如大型企业、银行、证券行业，其现有的网络结构比较复杂且对网络的安全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。为了进一步加强无线网络的安全性， ieee802.11工作组目前正在开发作为新的安全标准的“ieee802.11i”，并且致力于从长远角度考虑解决ieee 802.11无线局域网的安全问题。ieee 802.11i标准草案中主要包含加密技术：tkip (temporal key integrity protocol) 和 aes（advanced encryption standard），以及认证协议：ieee802.1x。在 ieee 802.

40、11i 标准最终确定前，wpa（wifitm protected access）技术将成为代替wep的无线安全标准协议，为ieee 802.11 无线局域网提供更强大的安全性能。wpa是ieee802.11i的一个子集，其核心就是ieee802.1x和tkip。ieee802.11i是新一代的无线安全标准。在 ieee 802.11i 标准最终确定前，wpa技术将成为代替wep的无线安全标准协议。wpa是ieee802.11i的一个子集，其核心就是ieee802.1x和tkip新一代的加密技术tkip与wep一样基于rc4加密算法，且对现有的wep进行了改进，在现有的wep加密引擎中追加了“密

41、钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（mic）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。tkip与当前wifitm 产品向后兼容，而且可以通过软件进行升级，abovecable无线产品完全支持wifitm标准，只需要简单的软件升级就可以实现对tkip的支持。tkip在基于rc4加密算法的基础上引入的4个新算法:（1）扩展的48 位初始化向量(iv)和iv顺序规则(iv sequencing rules);表4.1 802.11i协议结构上层认证机制(eap)ieee802.1xtkipccmp（2）每包密钥构建机制(

42、per-packet key construction);（3）michael 消息完整性代码(message integrity code,mic);（4）密钥重新获取和分发机制。tkip 并不直接使用由ptk/ gtk分解出来的密钥作为加密报文的密钥，而是将该密钥作为基础密钥(base key) ，经过两个阶段的密钥混合过程，从而生成一个新的、每一次报文传输都不一样的密钥，该密钥才是用做直接加密的密钥，通过这种方式可以进一步增强wlan 的安全性。ieee 802.11i中还定义了一种基于“高级加密标准”aes的全新加密算法，以实施更强大的加密和信息完整性检查。aes是一种对称的块加密技术

43、，提供比wep/tkip中rc4算法更高的加密性能，它将在ieee 802.11i最终确认后，成为取代wep的新一代的加密技术，为无线网络带来更强大的安全防护。端口访问控制技术（ieee802.1x）和可扩展认证协议（eap）ieee802.1x是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。ieee802.1x可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。ieee802.1x本身并不提供实际的认证机制，需要和上层认证协议（eap）配合来实现用户认证和密钥分发。eap允许无线终端可以支持不同的认证类型，能与后台不同的认

44、证服务器进行通讯，如远程接入拨入用户服务（radius）。ieee 802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。但ieee 802.1x本身并不提供实际的认证机制，需要和扩展认证协议eap(extensible authentication protocol)配合来实现用户认证和密钥分发。eap允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯，如远程认证拨号用户服务器(radius)交互。eap的类型有eap-tls、eap-ttls、eap-md5、peap等类型，eap-tls是现在普遍使用的，因为它是唯一被ietf(因特网

45、工程任务组)接受的类型。当无线工作站与无线ap关联后，是否可以使用ap的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认证请求通过了验证，则ap为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。abovecable hotsopt ap已经加入了对ieee802.1x和eap的支持，大大提高了无线网络的安全性能，为各行业安全地使用无线网络提供了坚实的基础，完全可以满足企业、学校、物流仓储等对网络安全要求较高的无线用户的需求。ieee802.1x认证过程如下：1） 无线终端向ap发出请求，试图与ap进行通讯； 2） ap将加密的数据发送给验证服务器进行用户身份认证

46、；3） 验证服务器确认用户身份后，ap允许该用户接入；4） 建立网络连接后授权用户通过ap访问网络资源；4.2.4802.11mesh网的关键技术当前，业界的802.11mesh网体系结构不尽相同，主要区别在于无线中继的方式和无线中继链路路由选择的方法。无线中继手段，业界主要的分歧在于采用multi-band、multi-radio方式还是采用single-band、single-radio方式。如果用户接入和无线中继工作于同一频段，如使用工作于2.4ghz的802.11b作为用户接入，同时使用同样工作于2.4ghz的802.11g作无线中继，就是一种single-band、single-ra

47、dio方式。反之，用户接入和无线中继工作于不同频段，如使用工作于2.4ghz的802.11b/g作为用户接入，同时使用工作于5ghz的802.11a作无线中继，则是一种典型的multi-band、multi-radio方式，采用multi-radio方式至少可以将接入部分和无线中继部分从频率上分开，使得两者互不干扰，能在一定程度上提升性能。而在路由算法上，沿用有线网络路由协议还是开发专用的无线mesh路由协议也是两种截然不同的技术路线。mesh路由的目的是为了寻找最优或相对最优的回传路径。在无线网络中，网络性能同发送成功概率息息相关。在wmn中，一个好的路由算法必须兼顾减少路由跳数以及降低某条

48、链路上包错误概率。在这个意义上，传统的有线路由协议并不适合于无线mesh路由，因为它通常无法考虑一条无线链路上包错误概率。因此，单从性能角度来考察，必须开发适用于无线环境的mesh路由协议。4.2.5802.11mesh网的安全挑战mesh网和802.11无线局域网相比多跳通信是一个主要的安全挑战。众所周知无线通信很容易受到被动攻击（如窃听），以及主动攻击（如信息篡改，dos攻击）。而这些安全隐患在多跳的mesh网中将被进一步放大。（1）在802.11无线局域网中每个用户端都和ap相连，所以有利于管理员的管理。但是由于802.11mesh网是一个多跳网络，所以将所有的安全管理都集中一端的无线网

49、关将延缓网络对攻击的检测和应对，这将无疑会给攻击者带来好处。（2）由于无线路由器距离internet接入点有近有远，远离internet接入点的节点有可能获得很小的带宽，所以设计合理的协议来保证节点间公平是很重要的。然而对公平性的保护也带来了新的挑战。（3）在有线网络中路由器一般会得到妥善的保护，所以对有线网络中的路由器的攻击不是那么方便，然而不同于有线网的路由器无线路由器一般都在室外分布，比如安放在楼顶或安放在路灯上。所以无线路由器得不到很好的物理保护。这很容易造成攻击者对无线路由器的攻击，比如修改路由器中的信息，窃取路由器中用于认证的对称密钥或公私钥对，或者用非法的无线路由器替换合法的。（

50、4）由于无线路由器得不到很好的物理保护，攻击者可以潜入网络伪装成合法的节点，发布错误的路由信息。所以必须设计安全的路由协议以对抗针对路由协议的攻击。4.2.6802.11mesh网的安全解决方案目前802.11mesh网的安全方案主要是tropos的troposmetromesh方案和nortel的方案。tropos metro mesh方案，采用了多层安全架构，对客户机提供wep、wpa保护；对无线路由器间的数据采用64/128 bit wep或128bit aes加密；同时使用vpn来增强整体的安全性。 链路层的保护是无线网络安全机制的第一步，但是单独的链路层保护不能提供对敏感数据的保护。

51、troposmetromesh使用了一系列方法来保护链路层的安全：（1）使用wep通过用加密所有的帧来提供网络接入控制和安全数据传输。但是wep被证明易受被动攻击，如果单独使用不能提供充分的安全性。（2）wpa是wi-fi联盟最新的安全标准，它使用更强的密码体制。wpa利用eap和radius提供更强的认证，它还提供了基于802.1x的端口接入控制。（3）使用128bitaes加密所有终端用户在mesh网中多跳传输的数据直到它们到达一个有线网关。（4）使用mac地址接入控制列表：接入点通过设置可接入名单和黑名单来进接入控制。但是因为物理地址可以被修改所以基于mac地址的接入控制只能当作多层安全

52、体制中的一部分。（5）抑制网络名（essid）：接入点允许管理员有选择的抑制网络可用性的广播，这样可以使非法的节点不能发现接入点，除非他使用探测工具。（6）多网络名（essid）：使用多接入点标示可以灵活适应有不同无限设备和安全性的用户组。在三、四层tropos使用vpn来实现网络接入控制和保护数据传输。在无线路由器上使用流量过滤来加强vpn提供的安全。使用128bit aes加密pwrp路由协议传输的节点身份和路由选择路径信息。管理信息的加密：作为网关的无线路由器从与它相关联的节点收集管理信息并发送到管理服务器，并使用aes加密这些流量。所有的无线路由器可以使用基于web的配置来进行配置和监

53、控，所有的配置信息使用https进行保护，这样网络管理者可以安全的配置和监控每一个无线路由器。nortel在安全方面也别具特色。每个无线路由器间均建立经过加密的ipsec隧道，以便安全地传送所有用户的数据业务、内部信令处理和管理信息，也就是说数据在无线路由器之间的传送都处于ipsec保护之下。不过网关并不涉及用户的认证工作。对于具有wpa（802.11i）功能的用户而言，无线路由器会将用户的认证信息经过ipsec加密隧道“透明地”传送到网络中心的radius认证服务器进行合法性认证。通过认证后，无线路由器与用户间的传输资料就会以wpa/802.11i加密算法加密，用户的传输资料将经由ipsec

54、加密隧道，在无线路由器之间传送直到网关。另外，无线路由器不仅支持多种用户wpa：eap-tls、eap-ttls、eap-peap；还在无线路由器间采用以wpa为基础的认证功能，对新加入网络的无线路由器进行认证，防止非法无线路由器接入。并使用基于wpa的加密功能，保证邻近无线路由器间传送的路由和通信控制协议的安全。4.3无线局域网数据加密技术 4.3.1wep(wired equivalent privacy)有线等效保密为了保证数据能安全地通过无线网络传输而制定的一个加密标准，使用了共享秘钥rc4加密算法，只有在用户的加密密钥与ap的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听

55、以及非法用户的访问。密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。 wep标准在保护网络安全方面存在固有缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。另外，wep加密有自身的安全缺陷，有许多公开可用的工具能够从互联网上免费下载，用于入侵不安全网络。而且黑客有可能发现网络传输，然后利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络。 4.3.2wpa保护访问(wi-fi protected access)wep存在的缺陷不能满足市场的需要，wi-fi联盟适时推出了wpa技术，wpa是一种可

56、替代 wep的无线安全技术，在 ieee 802.11i 标准最终确定前，将为ieee802.11 无线局域网 (wlan)提供更强大的安全性能。wpa实际上是ieee 802.11i的一个子集，其核心就是ieee 802.1x和tkip。wpa考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全保护（企业级），否则可能会泄漏非常重要的商业机密；而家庭用户往往只是使用网络来浏览 internet、收发email、打印和共享文件，这些用户对安全的要求相对较低。为了满足不同要求用户的需要，wpa中规定了两种应用模式：企业模式：通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安

57、全。家庭模式（包括小型办公室）：在ap（或者无线路由器）以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。wpa之所以比wep更可靠，就是因为它改进了wep的加密算法。其原理为根据通用密钥，配合表示电脑mac地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥，然后与wep一样将此密钥用于rc4加密处理。通过这种处理，所有客户端的分组信息所交换的数据将由各个不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。wpa还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，此前wep中倍受指责的缺点得以全部解决。wpa不仅是一种比w

58、ep更为强大的加密方法，而且有更为丰富的内涵。由于wep密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用wpa时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难。 4.3.3其它数据加密技术虚拟专用网络(vpn) 虚拟专用网络(vpn)是指在一个公共ip网络平台上通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11标准定义，是以另外一种强大的加密方法来保证传输安全的技术，可以和其它的无线安全技术一起使用。vpn协议包括二层的pptp/l2tp协议和三层的ipsec协议，ipsec用于保护ip数据包或上层数据，ipsec采用诸如数据加密标准(des)和168位三重数据加密